Компания Google выпустила отчёт Threat Horizons, посвящённый анализу угроз в облачной инфраструктуре за первое полугодие и тенденциям на вторую половину 2024 года.

В рамках приверженности Google Cloud обеспечению безопасности Управление CISO по облачным технологиям отслеживает активность инцидентов и тенденции, связанные с тем, как злоумышленники получают несанкционированный доступ к облачным средам, а также тем, какие цели преследуют хакеры, оказавшись внутри инфраструктуры, говорится в отчёте.

Точками входа служат проблемы с программным обеспечением (8,5%), уязвимость пользовательского интерфейса (8,5%) и прочие ошибки (5,5%). Однако в подавляющем большинстве случает хакеры попадают в инфраструктуру, используя украденные учётные данные при отсутствии многофакторной аутентификации или сервисы, где она отсутствует (47,2%). На втором месте идут ошибки администраторов, которые неправильно сконфигурировали или некачественно настроили систему (30,3%).

«Хотя злоумышленники не всегда использовали эти неправильные настройки, они остаются открытой дверью для потенциальной вредоносной активности. Примером распространённой проблемы, связанной с неправильной настройкой, может быть чрезмерное количество разрешений для ключей учётных записей служб или недостаточная защита от злонамеренного использования. Риск, связанный с неправильной настройкой, подчёркивает одно из ключевых преимуществ бессерверных вычислений, сводящее к минимуму контроль конфигурации, необходимый для серверного обслуживания критически важных процессов», — отмечают авторы исследования.

Эти данные подтверждают актуальность бессерверной архитектуры как части более широкой стратегии глубокой защиты в качестве превентивного средства контроля, считают эксперты — наряду с другими средствами оперативного контроля, применяемыми на протяжении всего периода потенциального вторжения, для обнаружения и остановки злоумышленников на нескольких этапах процесса.

В результате проникновения в большинстве случаев (58,8%) злоумышленники занимаются криптомайнингом — авторы отмечают снижение этого вида деятельности по сравнению со вторым полугодием 2023-го (65%). Далее следуют попытки бокового перемещения (23,5%), отказ в обслуживании (5,9%) и прочие инциденты (11,8%), которые не расшифровывают.

Исходя из описанных тенденций первой половины года, эксперты предлагают меры по снижению рисков, включающие использование многофакторной аутентификации, проведение тестирования на проникновение для предотвращения использования злоумышленниками базовых средств защиты для доступа к среде компаний, а также использование инструментов Google для выявления подозрительных действий в облачной среде организаций и для защиты от криптомайнинга.

Большая часть отчёта посвящена бессерверным вычислениям и бессерверной архитектуры у всех облачных провайдеров. Бессерверная архитектура привлекательна для разработчиков и предприятий своей гибкостью, экономичностью и простотой использования. При этом она подвержена угрозам и требует грамотной конфигурации серверных служб.

«Исследовательское сообщество в области безопасности выявило широкий спектр злоупотреблений законной бессерверной инфраструктурой со стороны злоумышленников. Это нарушение затрагивает всех поставщиков облачных услуг, включая Google Cloud, AWS, Azure, CloudFlare и других», гласит отчёт.

В 2023 году группа анализа угроз Google обнаружила финансово мотивированных субъектов, злоупотребляющих продуктами Google Cloud, которые занимались распространением вредоносного ПО и размещением фишинговых страниц. Благодаря усилиям команды Google, количество вредоносных кампаний сократилось на 99% по сравнению с пиковым уровнем.

Авторы отчёта дают рекомендации по конфигурации облачной инфраструктуры, управлению доступом и инструментами, которые помогут сократить число угроз.